Operation#
Dieses Kapitel beschreibt operative Aufgaben für Benutzer mit der Rolle Administrator und Operator. Bitte lesen Sie das Kapitel Rollen, um mehr über diese Rollen zu erfahren.
Wichtig
Bitte lesen Sie unbedingt die Informationen am Anfang von diesem Dokument bevor Sie mit der Arbeit beginnen.
Schlüsselverwaltung#
Schlüssel generieren#
Der NetHSM kann Schlüsselpaare erzeugen. Es wird empfohlen, die Option Schlüssel-ID anzugeben, um dem Schlüssel einen aussagekräftigen Namen zu geben.
Die unterstützten Schlüsseltypen und ihre entsprechenden Mechanismen sind die folgenden
Schlüssel Typ |
Mechanismen |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Der Schlüssel kann wie folgt generiert werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Der Typ für den erzeugten Schlüssel. Mögliche Werte für das Argument |
|
Die Mechanismen für den generierten Schlüssel. Mögliche Werte für das Argument |
|
Die Länge des generierten Schlüssels |
Optionale Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des generierten Schlüssels |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST generate-key --type RSA --mechanism RSA_Signature_PSS_SHA256 --mechanism RSA_Decryption_PKCS1 --length 2048 --key-id myFirstKey
Key myFirstKey generated on NetHSM localhost:8443
Informationen über den Endpunkt /keys/generate finden Sie in der API-Dokumentation.
Schlüssel importieren#
Der NetHSM kann vorhandene private Schlüssel in den Schlüsselspeicher importieren.
Die unterstützten Schlüsseltypen und ihre entsprechenden Mechanismen sind die folgenden
Schlüssel Typ |
Mechanismen |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Der Import kann wie folgt eingeleitet werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Der Typ für den erzeugten Schlüssel. Mögliche Werte für das Argument |
|
Die Mechanismen für den generierten Schlüssel. Mögliche Werte für das Argument |
|
Die Primzahl p für RSA-Schlüssel, base64-kodiert |
|
Die Primzahl q für RSA-Schlüssel, base64-kodiert |
|
Der öffentliche Exponent für RSA-Schlüssel, base64-kodiert |
|
Die Schlüsseldaten für ED25519- oder ECDSA_*-Schlüssel, base64-kodiert |
Optionale Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des neuen Schlüssels |
|
Der Tag für den neuen Schlüssel |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST add-key \
--type RSA \
--mechanism RSA_Signature_PSS_SHA256 \
--mechanism RSA_Decryption_PKCS1 \
--key-id myFirstKey \
--public-exponent AQAB \
--prime-p "AOnWFZ+JrI/xOXJU04uYCZOiPVUWd6CSbVseEYrYQYxc7dVroePshz29tc+VEOUP5T0O8lXMEkjFAwjW6C9QTAsPyl6jwyOQluMRIkdN4/7BAg3HAMuGd7VmkGyYrnZWW54sLWp1JD6XJG33kF+9OSar9ETPoVyBgK5punfiUFEL" \
--prime-q "ANT1kWDdP9hZoFKT49dwdM/S+3ZDnxQa7kZk9p+JKU5RaU9e8pS2GOJljHwkES1FH6CUGeIaUi81tRKe2XZhe/163sEyMcxkaaRbBbTc1v6ZDKILFKKt4eX7LAQfhL/iFlgi6pcyUM8QDrm1QeFgGz11ChM0JuQw1WwkX06lg8iv"
Key myFirstKey added to NetHSM localhost:8443
Informationen über den Endpunkt /keys finden Sie in der API-Dokumentation.
Taste löschen#
Der NetHSM kann Schlüssel aus dem Key Store löschen.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator.
Argumente
Argument |
Beschreibung |
|---|---|
|
Die Schlüssel-ID des zu löschenden Schlüssels |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST delete-key myFirstKey
Key myFirstKey deleted on NetHSM localhost:8443
Informationen über den Endpunkt /keys/{KeyID} finden Sie in der API-Dokumentation.
Schlüssel auflisten#
Der NetHSM kann alle verfügbaren Schlüssel im Schlüsselspeicher auflisten.
Die Liste kann wie folgt abgerufen werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator oder Operator.
Optionale Optionen
Option |
Beschreibung |
|---|---|
-f`, ` ` ` ` –filter TEXT |
Der zu suchende Tag |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST list-keys
Keys on NetHSM localhost:8443:
Key ID Type Mechanisms Operations Tags
----------- ---- ---------------------------------------------- ---------- ----
myFirstKey RSA RSA_Decryption_PKCS1, RSA_Signature_PSS_SHA256 0
Informationen über den Endpunkt /keys finden Sie in der API-Dokumentation.
Schlüsseldetails anzeigen#
Der NetHSM kann detailliertere Informationen über einen gespeicherten Schlüssel ausgeben.
Die detaillierten Informationen können wie folgt abgerufen werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator oder Operator.
Beispiel
$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey
Key myFirstKey on NetHSM localhost:8443:
Type: RSA
Mechanisms: RSA_Decryption_RAW
Operations: 0
Modulus: r62XHPWMDdEf2I1WEpSxGowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMPa7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5PGQ==
Public exponent: AQAB
Informationen über den Endpunkt /keys/{KeyID} finden Sie in der API-Dokumentation.
Der öffentliche Schlüssel eines Schlüssels kann wie folgt abgerufen werden. Er liegt im PKCS#8-Format vor.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator oder Operator.
Beispiel
$ nitropy nethsm --host $NETHSM_HOST get-key myFirstKey --public-key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----
Informationen über den Endpunkt /keys/{KeyID}/public.pem finden Sie in der API-Dokumentation.
Der öffentliche Schlüssel kann z.B. mit OpenSSL wie folgt eingesehen werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator oder Operator.
Beispiel
nitropy nethsm --host= $NETHSM_HOST get-key myFirstKey --public-key | openssl rsa -pubin -text
Public-Key: (2048 bit)
Modulus:
00:af:ad:97:1c:f5:8c:0d:d1:1f:d8:8d:56:12:94:
b1:1a:8c:18:fd:f4:05:f2:53:0f:b6:fd:c4:51:02:
44:fc:f2:d6:06:f7:a1:17:c1:b4:41:8d:c0:55:56:
77:7a:d9:50:5a:22:ab:78:eb:86:0f:1e:0d:af:63:
c5:35:80:2e:e5:ff:89:3f:62:5c:d6:5b:05:34:e6:
05:f0:3f:36:44:5e:35:30:1c:92:6d:04:7e:93:ee:
38:37:fd:38:07:46:a1:4c:10:b1:5f:ea:2f:14:7e:
d2:77:a4:b3:bf:13:0f:6b:b1:0a:be:16:8e:b0:b6:
e0:ca:b3:e5:15:9c:50:9e:12:04:a8:94:42:4a:8e:
43:45:10:fe:09:10:8f:a4:65:ec:55:78:05:6c:9a:
cd:8a:58:76:d6:2f:0e:64:27:2d:e2:70:b6:39:2d:
7d:d4:c7:83:2a:60:87:e2:d8:eb:7c:b3:30:38:a2:
44:f3:32:a5:c2:17:6d:03:5b:8c:63:8f:7e:26:e6:
82:e3:c1:94:16:c2:d8:c1:b2:e9:d7:bd:b7:52:fd:
4f:8d:98:c2:e6:36:d4:85:27:03:d2:ef:48:fa:23:
6b:ab:39:c0:7a:46:b8:75:6b:09:f6:38:00:fa:1e:
a1:6e:54:a0:0a:cd:08:dc:c5:8e:b0:c5:f1:fd:8e:
4f:19
Exponent: 65537 (0x10001)
writing RSA key
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr62XHPWMDdEf2I1WEpSx
GowY/fQF8lMPtv3EUQJE/PLWBvehF8G0QY3AVVZ3etlQWiKreOuGDx4Nr2PFNYAu
5f+JP2Jc1lsFNOYF8D82RF41MBySbQR+k+44N/04B0ahTBCxX+ovFH7Sd6SzvxMP
a7EKvhaOsLbgyrPlFZxQnhIEqJRCSo5DRRD+CRCPpGXsVXgFbJrNilh21i8OZCct
4nC2OS191MeDKmCH4tjrfLMwOKJE8zKlwhdtA1uMY49+JuaC48GUFsLYwbLp1723
Uv1PjZjC5jbUhScD0u9I+iNrqznAeka4dWsJ9jgA+h6hblSgCs0I3MWOsMXx/Y5P
GQIDAQAB
-----END PUBLIC KEY-----
Informationen über den Endpunkt /keys/{KeyID}/public.pem finden Sie in der API-Dokumentation.
Schlüssel-Zertifikate#
Es ist möglich, Zertifikate für die auf einem NetHSM gespeicherten Schlüssel zu setzen und abzufragen.
Die folgenden MIME-Typen werden unterstützt.
application/x-pem-fileapplication/x-x509-ca-certapplication/pgp-keys
Das Zertifikat kann wie folgt eingestellt werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des Schlüssels, für den das Zertifikat erstellt werden soll |
Optionale Optionen
Option |
Beschreibung |
|---|---|
|
Der MIME-Typ des Zertifikats. Die verfügbaren MIME-Typen sind oben aufgeführt. |
Argumente
Argument |
Beschreibung |
|---|---|
|
Zertifikat-Datei |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST set-certificate --key-id myFirstKey --mime-type application/x-pem-file /tmp/cert.pem
Updated the certificate for key myFirstKey on NetHSM localhost:8443
Informationen über den Endpunkt /keys/{KeyID}/cert finden Sie in der API-Dokumentation.
Das Zertifikat kann wie folgt abgerufen werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator oder Operator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des Schlüssels, für den das Zertifikat abgerufen werden soll |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST get-certificate --key-id myFirstKey
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Informationen über den Endpunkt /keys/{KeyID}/cert finden Sie in der API-Dokumentation.
Signieranforderungen für Schlüsselzertifikate#
Der NetHSM unterstützt die Erzeugung von CSR (Certificate Signing Requests) für die gespeicherten Schlüssel.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Administrator oder Operator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des Schlüssels, für den die CSR erzeugt werden soll |
|
Der Name des Landes |
|
Der Name des Bundeslandes oder der Provinz |
|
Der Name des Ortes |
|
Der Name der Organisation |
|
Der Name der Organisationseinheit |
|
Der gemeinsame Name |
|
Die E-Mail Adresse |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST csr --key-id myFirstKey --country="DE" --state-or-province="Berlin" --locality="Berlin" --organization="Nitrokey" --organizational-unit="" --common-name=nitrokey.com --email-address="info@nitrokey.com"
-----BEGIN CERTIFICATE REQUEST-----
MIHxMIGkAgEAMHExbzAJBgNVBAYTAkRFMA0GA1UEBwwGQmVybGluMA0GA1UECAwG
QmVybGluMA8GA1UECgwITml0cm9rZXkwEwYDVQQDDAxuaXRyb2tleS5jb20wHgYJ
KoZIhvcNAQkBFhFpbmZvQG5pdHJva2V5LmNvbTAqMAUGAytlcAMhADJMNAifke6s
u7CYqHGDy3xGtXVOUNbTJG6Gn4oki+j3oAAwBQYDK2VwA0EAQilRK2Mf6kfJ4ByI
WCn9A+8IHsnE7iFcuFZpmaKfcJwZiaQppHvPg/Z0zqldzviPQ1cjKR7hSZG+8GHH
gWjEDg==
-----END CERTIFICATE REQUEST-----
Informationen über den Endpunkt /keys/{KeyID}/csr.pem finden Sie in der API-Dokumentation.
Wichtige Vorgänge#
Verschlüsseln Sie#
Die NetHSM kann Daten mit symmetrischen Schlüsseln verschlüsseln, die im Key Store gespeichert sind. Im Gegensatz dazu kann die Verschlüsselung von Daten mit asymmetrischen Schlüsseln auf dem NetHSM nicht durchgeführt werden, da das Konzept der Public-Key-Kryptographie darin besteht, den öffentlichen Schlüssel für jeden zugänglich zu machen. Für asymmetrische Schlüssel stellt der NetHSM den öffentlichen Schlüssel zur Verfügung, der zur Verschlüsselung mit einem externen Tool verwendet werden kann. Unter Show Key Details erfahren Sie mehr darüber, wie Sie den öffentlichen Schlüssel eines Schlüssels im Key Store abrufen können.
Daten können mit einem symmetrischen Schlüssel wie folgt verschlüsselt werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Operator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des Schlüssels, mit dem die Daten verschlüsselt werden |
|
Die Daten in Base64-Kodierung |
-m`, ` ` ` ` –mode [AES_CBC] |
Der Verschlüsselungsmodus |
-iv`, ` ` ` ` –initialization-vector TEXT |
Der Initialisierungsvektor in Base64-Kodierung |
Beispiel
$ nitropy nethsm --host $NETHSM_HOST encrypt -k myFirstKey -d "TmV0SFNNIHJ1bGV6enp6enp6enp6enp6enp6enp6IQo=" -m AES_CBC -iv "aYlwUI4A9zL9tts4dMAq+A=="
Encrypted: Uk+9pgucdxTnbyIb/6+BDJef+HfRWhw+Eg3RcCvyHaU=
Initialization vector: aYlwUI4A9zL9tts4dMAq+A==
Informationen über den Endpunkt /keys/{KeyID}/encrypt finden Sie in der API-Dokumentation.
Dies gibt die verschlüsselte und base64-kodierte Nachricht NetHSM rulezzzzzzzzzzzzzzzzzzz! und den Initialisierungsvektor aus.
Daten können für asymmetrische Schlüssel mit OpenSSL wie folgt verschlüsselt werden.
$ echo 'NetHSM rulez!' | openssl pkeyutl -encrypt -pubin -inkey public.pem | base64 > data.crypt
Dies schreibt die verschlüsselte und base64-kodierte Nachricht NetHSM rulez! in die Datei data.crypt, unter Verwendung des öffentlichen Schlüssels von public.pem.
Entschlüsseln#
Der NetHSM kann Daten für einen privaten Schlüssel entschlüsseln, der im Schlüsselspeicher des NetHSM gespeichert ist. Dieses Beispiel verwendet die verschlüsselte Nachricht aus dem vorherigen Kapitel Encrypt.
Die unterstützten Entschlüsselungsmodi sind wie folgt
TAGPKCS1FILENAME--networkOAEP_SHA224OAEP_SHA224OAEP_SHA224OAEP_SHA224USER_ID
Die Daten können wie folgt entschlüsselt werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Operator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des Schlüssels zur Entschlüsselung der Datenbreite |
|
Die verschlüsselten Daten in Base64-Kodierung |
|
Der Entschlüsselungsmodus. Die verfügbaren Modi sind oben aufgeführt. |
Beispiel
$ nitropy nethsm -h $NETHSM_HOST decrypt -k myFirstKey -d "$(cat data.crypt)" -m PKCS1 | base64 -d
NetHSM rulez!
Informationen über den Endpunkt /keys/{KeyID}/decrypt finden Sie in der API-Dokumentation.
Unterschrift#
Der NetHSM kann Daten für einen privaten Schlüssel signieren, der im Schlüsselspeicher des NetHSM gespeichert ist. Für Signaturen mit einem RSA- und ECDSA-Schlüssel muss zunächst ein Digest berechnet werden.
Um einen Digest zu berechnen, werden zunächst die Daten benötigt. Eine Nachricht wird wie folgt erstellt.
$ echo 'NetHSM rulez!' > data
Der Digest wird mit OpenSSL wie folgt berechnet.
$ openssl dgst -sha256 -binary data | base64 > data.digest
Die unterstützten Signiermodi sind wie folgt
PKCS1USER_IDFILENAMECurve25519Curve25519Curve25519Curve25519PKCS1PKCS1
Aus dem Digest kann wie folgt eine Signatur erstellt werden.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Operator.
Erforderliche Optionen
Option |
Beschreibung |
|---|---|
|
Die ID des Schlüssels zum Signieren der Datenbreite |
|
Die zu signierenden Daten werden mit Base64 kodiert. |
|
Der Vorzeichenmodus |
Beispiel
$ nitropy nethsm -h $NETHSM_HOST sign -k myFirstKey -m PKCS1 -d "$(cat data.digest)" | base64 -d > data.sig
Informationen über den Endpunkt /keys/{KeyID}/sign finden Sie in der API-Dokumentation.
Die erstellte Signatur kann mit OpenSSL wie folgt überprüft werden.
$ openssl dgst -sha256 -verify public.pem -signature data.sig -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 data
Verified OK
Zufällig#
Der NetHSM kann Zufallsbytes als Base64-String bereitstellen.
Erforderliche Rolle
Dieser Vorgang erfordert eine Authentifizierung mit der Rolle Operator.
Argumente
Argument |
Beschreibung |
|---|---|
|
Abzurufende Bytes |
Beispiel
nitropy nethsm --host $NETHSM_HOST random 4
94A2rg==
Informationen über den Endpunkt /random finden Sie in der API-Dokumentation.